宇宙链 宇宙链
Ctrl+D收藏宇宙链

Web3安全插件工作原理及使用建议

作者:

时间:1900/1/1 0:00:00

在DeFi的黑暗森林中,用户每天面临着各种安全威胁。据报道每年有超过十亿美元的加密资产被走。用户迫切地需要一种钱包卫士来守护资产。上篇文章提到了如?FoxEye这种Web3安全插件,本帖来解释下它们的工作原理。

当谈到反钓鱼时,一个常见的安全模型是基于URL的反钓鱼,因为大部分攻击向量都依赖钓鱼网站,如:

恶意合约高风险代币授权漏洞假NFT危险签名等等面向URL的反钓鱼

建立钓鱼URL的数据库,当用户访问钓鱼网站时进行拦截。

跨链交易基础设施zkLink完成1000万美元融资:金色财经报道,基于零知识证明的多链交易基础设施 zkLink 完成 1000 万美元融资,Coinbase Ventures、Ascensive Assets、SIG DTI、BigBrain Holdings、Efficient Frontier 等参投,zkLink 的总融资额已达到 1850 万美元。[2023/5/4 14:43:06]

面向URL的反钓鱼只能建立在静态的URL黑名单之上,这种措施有用但比较老套也不够全面:

不完备性:并不能涵盖所有的钓鱼网站。新生成的钓鱼网站是盲区。滞后性:在用户反馈和黑名单更新之间有一定延迟。局限性:对DNS劫持等其他攻击手段无效。面向URL的反钓鱼不能满足用户需求,因为它覆盖的不是最终的安全敞口:待签名交易。

金融稳定委员会发布国际加密资产监管框架:10月16日消息,金融稳定委员会 (FSB) 本周发布国际加密资产监管框架“International Regulation of Crypto-asset Activities”,为每个司法管辖区的立法者提供政策建议,旨在保持加密领域的创新。

FSB 表示,有效的监管框架必须确保加密资产活动受到全面监管,与加密资产活动带来的风险相称,同时利用其背后技术的潜在优势。此类监管应确保在它们造成与传统金融活动所造成的风险类似的风险时产生同等的监管结果,同时处理加密资产的新特征。FSB 还强调,立法者应监控 Stablecoin 发行公司的后端运营,以确保发行方不断维持已发行 Stablecoin 背后的资金,防止类似 TerraUSD 崩盘的事件再次发生。据悉,FSB 要求旗下成员在 2022 年 12 月 15 日之前就这一全球监管框架发表意见。[2022/10/16 17:27:56]

面向交易的反钓鱼

欧易OKX正式上线屯币宝:据欧易OKX官方消息,欧易OKX正式上线屯币宝,Web及APP端均可使用。屯币宝策略是一种在用户选定的币种组合中做智能动态调仓的自动化策略。

该策略优势在于可以利用不同币种之间的汇率波动来赚币和屯币,可实现风险隔离与自动平衡。目前已支持全站所有现货币种,每个投资组合最多可选10个币种。[2022/7/21 2:27:34]

殊途同归,所有的钓鱼都需要发起交易。如果我们能动态地解析交易或签名,并拦截有害的那一部分,就可以实现用户端的安全闭环。

奢侈品时尚平台Farfetch将接受加密货币零售支付:金色财经消息,欧洲在线奢侈品时尚零售平台Farfetch Ltd.周五表示,将在未来几个月开始允许使用加密货币进行支付,并将在今年晚些时候扩展到包括所有美国、英国和欧洲客户。

最初该平台将接受七种加密货币,包括BTC、ETH和BNB等。该公司补充说,它已与德国加密货币平台初创公司Lunu合作开发其销售点终端,以实现店内交易。

此前消息,Ripple已与加密初创公司Lunu建立合作关系,为欧洲各地的奢侈品零售店提供更快和更安全的数字资产支付选项。(MarketWatch)[2022/6/10 4:16:23]

典型的交易过程

本段包含一小部分代码,但不理解代码也可以阅读。标准的交易过程为:

dApp前端通过?ethereum.request调用?eth_sendTransaction?向钱包发送交易信息。?params?包含所有的交易参数。ethereum.request({

method:‘eth_sendTransaction’,

params:

})

钱包要求用户对交易签名。将签过名的交易发送到以太坊节点上。

Hook交易

Hook的意思是钩子。在编程中我们把『拦截系统或软件的函数、信息、事件,并增加或改变其功能』的技术称为hook。

如果我们能hook这个eth_sendTransaction方法,那么就能在其被发送至用户钱包签名前对其进行审查。

在JavaScript中,我们使用基础对象Proxy来完成hook。

创建一个对?ethereum.request的Proxy。

constproxy=newProxy(window.ethereum.request,this.proxyHandler);

window.ethereum.request=proxy;

其中一个参数?this.proxyHandler?中声明了监听到eth_sendTransaction后如何处理,具体细节按下不表,大体为:

拦截交易对象。发送至云端或在本地进行分析。若发现风险行为,警示用户。显然,第二步是这一流程里最关键和最有技术含量的,包括但不限于:

静态分析函数selector,交互地址等调用栈的动态分析链式合约扫描代币检测交易模拟AML库签名分析恶意合约库等等…每一条都可以单独写一篇文章,篇幅所限这里就不展开了。

Tips

最后有几条使用安全插件的几条建议:

仅从官网链接下载。虽然我还没见到仿冒的Web3安全插件,但我可以说它们一定会来的。仅使用开源的插件。Hook是一种很有威力的技术,它不仅能拦截你的交易,也能修改之。你肯定不想后院起火吧。使用有更多功能的插件。简单即弱小。不要在一个Chrome窗口里安装多个安全插件,他们互相之间可能会冲突。如果想体验多个插件,可以装一卸一,或使用Chrome的多用户功能。谨记安全是一种动态追求。风险也在不断变化之中。虽然安全插件能极大提升你的安全水平,但无法保证100%安全。安装安全插件的同时也要提升自己的安全意识。

标签:ETHROXPROXOXYETH简介VeroxProxeusOXY价格

比特币交易所热门资讯
Do Kwon 的人生:名利与罪恶

在DoKwon的推特个人主页上,他的头像是这样一幅形象:一个类似托尼·史塔克钢铁侠造型的动漫卡通人物,戴着镶满六颗能量宝石的灭霸手套,脸上则是极像机械战警一样的面罩。其背后是黑色夜空中在黄色火焰上升腾而起的显目LUNA图标.

1900/1/1 0:00:00
浅谈加密社区对FTX与Alameda猜测

最近在休业,不过几天FTX下去的fud这乱传看起来有点太夸张了,说说我的看法。首先是常币/存货换货,流动性是正常的操作,很容易取税.

1900/1/1 0:00:00
通过挖掘 zkEVM、模块化层、中间件及 L3,破译以太坊的未来

注:本文对原文第一部分进行了删减,若有需要,可参见原文 *免责声明:本文非财务建议,除ETH之外,作者对提到的任何东西都未投资。对于文章的第一部分,读者可以选择跳过,但它有助于形成叙事.

1900/1/1 0:00:00
肖风:以太坊的“上海时刻”

2022年9月15日,以太坊将迎来它继2013年底初版白皮书发表、2015年7月主网上线之后的又一个历史时刻:“合并”。以太坊的共识机制将从工作量证明转为权益证明.

1900/1/1 0:00:00
如何在Blur第二轮空投中获取更多奖励?

编者按:本文作者为自封Blur“首席禅修官”的?ZenAcademy?创始人?Zeneca,过去半年里?Zeneca一直活跃在Blur社区,积极参与着这一新锐?NFT?交易所的落地与发展.

1900/1/1 0:00:00
长推:FTX暴雷的几点思考

作者简介:BobbyOngCoinGecko的联合创始人兼首席运营官FTX事件堪称加密世界的“雷曼时刻”,对行业也是一个残酷的打击。我仍然对FTX崩溃的规模感到震惊。我见过多个交易所消失,但这是最糟糕的一次.

1900/1/1 0:00:00